Microsoft의 형편없는 클라우드 보안

Source: Schneier on Security

ProPublica Report

ProPublica가 독점 보도를 내놓았습니다:

2024년 말, 연방 정부의 사이버 보안 평가자들은 마이크로소프트의 가장 큰 클라우드 컴퓨팅 서비스 중 하나에 대해 우려스러운 평결을 내렸습니다. 내부 정부 보고서에 따르면, 기술 대기업의 “적절하고 상세한 보안 문서가 부족함” 때문에 평가자들은 “시스템 전체 보안 태세를 평가할 자신감이 부족하다”고 밝혔습니다.

“이 패키지는 엉망이다.” – 평가팀 일원

수년 동안 평가자들은 마이크로소프트가 디지털 환경을 가로질러 서버 간에 이동하는 클라우드에서 민감한 정보를 어떻게 보호하는지 완전히 설명하지 못했다고 지적했습니다. 이러한 점과 기타 알려지지 않은 요소들 때문에 정부 전문가들은 해당 기술의 보안을 보증할 수 없었습니다.

FedRAMP Authorization

연방 정부는 마이크로소프트의 Government Community Cloud High (GCC High)의 사이버 보안을 검증하지 못한다면 더욱 큰 위험에 노출될 수 있습니다. GCC High는 국가의 가장 민감한 정보를 보호하도록 설계된 클라우드 기반 서비스 모음입니다.

그럼에도 불구하고, 워싱턴 전역에 여전히 파장을 일으키는 매우 이례적인 조치로 연방 위험 및 승인 관리 프로그램(FedRAMP)은 이 제품을 승인했으며, 이는 연방 정부의 사이버 보안 승인 도장을 찍은 것과 같습니다. FedRAMP의 판결—“구매자는 주의하라”는 경고와 함께 GCC High를 고려하는 모든 연방 기관에 대한 주의 사항—은 마이크로소프트가 수십억 달러 규모의 정부 비즈니스 제국을 확장하는 데 도움을 주었습니다.